PyPI新帳號現需要啟用雙因素驗證才能執行管理操作

Python第三方套件儲存庫PyPI實施強制雙因素驗證政策，強化平臺安全性，現在PyPI要求所有新用戶在執行任意管理操作，包括上傳套件和修改套件資訊之前，都必須啟用雙因素驗證，同時，還要求用戶需要使用經過驗證的主要電子郵件地址。

PyPI從2019年開始支援雙因素驗證，並在今年5月的時候，宣布今年底前所有用戶都必須啟用雙因素驗證，而現在對新用戶的雙因素驗證要求，正是這項政策的具體作為。新用戶在創建/管理專案、添加/刪除API權杖、添加/刪除協作者，以及添加/管理受信任發布者等操作，都會需要先啟用雙因素驗證。

不過，對於只是想瀏覽PyPI網頁，下載和安裝套件的使用者，並不需要額外申請PyPI帳號，因此這項雙因素驗證要求也就不會產生影響。未啟用雙因素驗證的新註冊帳號，在嘗試執行管理操作時，用戶會在頁面頂端看到紅色橫幅，點擊後便會被重新定向到雙因素驗證設定頁面。

PyPI在今年5月爆出大量惡意帳戶和專案，在安全審核人力吃緊下，官方緊急停止接受新用戶和專案，以緩解惡意程式碼的威脅。官方提到，攻擊者可能透過網路釣魚或是憑證填充等攻擊手法，取得電子郵件和密碼非法存取使用者的帳號，並使用這些帳號上傳惡意Python套件，以竊取各種憑證、加密貨幣錢包或是敏感資訊。

當PyPI帳號啟用雙因素驗證，即便用戶的電子郵件帳戶受到入侵，攻擊者成功請求更換密碼，仍需要通過雙因素驗證，如此便能大幅提高帳號安全性。